Meninjau persyaratan untuk menyebarkan Layanan Federasi Direktori Aktif
Berlaku Untuk: Azure, Office 365, Power BI, Windows Intune
Agar penyebaran Layanan Federasi Direktori Aktif baru berhasil membuat kepercayaan pihak yang mengandalkan dengan Microsoft Azure AD, Anda harus terlebih dahulu memastikan bahwa infrastruktur jaringan perusahaan Anda dikonfigurasi untuk mendukung persyaratan Layanan Federasi Direktori Aktif untuk akun, resolusi nama, dan sertifikat. Layanan Federasi Direktori Aktif memiliki jenis persyaratan berikut:
Persyaratan perangkat lunak
Persyaratan sertifikat
Persyaratan jaringan
Persyaratan perangkat lunak
Perangkat lunak Layanan Federasi Direktori Aktif harus diinstal di komputer apa pun yang Anda siapkan untuk peran proksi server federasi atau server federasi. Anda dapat menginstal perangkat lunak ini dengan menggunakan Panduan Penyetelan Layanan Federasi Direktori Aktif atau dengan melakukan penginstalan yang tenang menggunakan parameter adfssetup.exe /quiet pada baris perintah.
Untuk platform penginstalan dasar, LAYANAN Federasi Direktori Aktif memerlukan sistem operasi Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, atau Windows Server 2012 R2. Layanan Federasi Direktori Aktif memiliki paket penginstalan terpisah untuk platform sistem operasi Windows Server 2008, Windows Server 2008 R2 (dan umumnya disebut sebagai LAYANAN Federasi Direktori Aktif 2.0) atau dapat diinstal dengan menambahkan peran server Layanan Federasi sebagai bagian dari sistem operasi Windows Server 2012 atau Windows Server 2012 R2.
Jika Anda menggunakan LAYANAN Federasi Direktori Aktif 2.0 atau Layanan Federasi Direktori Aktif di Windows Server 2012, Anda akan menyebarkan dan mengonfigurasi proksi server federasi sebagai bagian dari penerapan solusi SSO Anda.
Jika Anda menggunakan Layanan Federasi Direktori Aktif di Windows Server 2012 R2, Anda akan menyebarkan Proksi Aplikasi Web untuk mengonfigurasi penyebaran Layanan Federasi Direktori Aktif Anda untuk akses ekstranet. Di Windows Server 2012 R2, Proksi Aplikasi Web, layanan peran baru dari peran server Akses Jarak Jauh, digunakan untuk mengaktifkan Layanan Federasi Direktori Aktif Anda untuk aksesibilitas dari luar jaringan perusahaan. Untuk informasi selengkapnya, lihat Gambaran Umum Proksi Aplikasi Web.
Prasyarat
Selama proses penginstalan Layanan Federasi Direktori Aktif, wizard penyiapan mencoba memeriksa dan, jika perlu secara otomatis, menginstal aplikasi prasyarat dan perbaikan dependen. Dalam kebanyakan kasus, wizard penyiapan akan menginstal semua aplikasi prasyarat yang diperlukan agar Layanan Federasi Direktori Aktif beroperasi dan diinstal.
Namun, ada satu pengecualian: ketika Anda menginstal Layanan Federasi Direktori Aktif pada platform Windows Server 2008 (sebagai paket penginstalan terpisah yang dikenal sebagai LAYANAN Federasi Direktori Aktif 2.0). Jika demikian dalam situasi penyebaran Anda, Anda harus terlebih dahulu memastikan bahwa .NET 3.5 SP1 diinstal pada server yang menjalankan Windows Server 2008 sebelum menginstal perangkat lunak LAYANAN Federasi Direktori Aktif 2.0, karena ini adalah prasyarat Ad FS 2.0 dan tidak akan secara otomatis diinstal oleh Wizard Penyiapan LAYANAN Federasi Direktori Aktif 2.0 pada platform ini. Jika .NET 3.5 SP1 tidak diinstal, Wizard Penyetelan LAYANAN Federasi Direktori Aktif 2.0 akan mencegah penginstalan perangkat lunak Layanan Federasi Direktori Aktif 2.0.
Perbaikan
Anda harus menginstal perbaikan LAYANAN Federasi Direktori Aktif 2.0 setelah Menginstal Layanan Federasi Direktori Aktif 2.0. Untuk informasi selengkapnya, lihat Deskripsi Pembaruan Rollup 2 untuk Active Directory Federation Services (AD FS) 2.0.
Virtualization
Layanan Federasi Direktori Aktif mendukung virtualisasi perangkat lunak dari peran proksi server federasi dan server federasi. Untuk mempertanyakan redundansi, kami sarankan Anda menyimpan setiap komputer virtual LAYANAN Federasi Direktori Aktif di server virtual fisik yang terpisah.
Untuk informasi selengkapnya tentang menyiapkan lingkungan server virtual menggunakan teknologi virtualisasi Microsoft, lihat Panduan Memulai Hyper-V.
Persyaratan sertifikat
Sertifikat memainkan peran paling penting dalam mengamankan komunikasi antara server federasi, Proksi Aplikasi Web, proksi server federasi, layanan cloud, dan klien web. Persyaratan untuk sertifikat bervariasi, tergantung pada apakah Anda menyiapkan server federasi, Proksi Aplikasi Web, atau komputer proksi server federasi, seperti yang dijelaskan dalam tabel berikut.
Sertifikat server federasi
Server federasi memerlukan sertifikat dalam tabel berikut.
| Jenis sertifikat | Deskripsi | Apa yang perlu Anda ketahui sebelum menyebarkan |
|---|---|---|
Sertifikat SSL (juga disebut sebagai Sertifikat Autentikasi Server) untuk Layanan Federasi Direktori Aktif di Windows Server 2012 R2 |
Ini adalah sertifikat Secure Sockets Layer (SSL) standar yang digunakan untuk mengamankan komunikasi antara server federasi, klien, Web Proksi Aplikasi, dan komputer proksi server federasi. |
Layanan Federasi Direktori Aktif memerlukan sertifikat untuk autentikasi server SSL di setiap server federasi di farm server federasi Anda. Sertifikat yang sama harus digunakan pada setiap server federasi di farm. Anda harus memiliki sertifikat dan kunci privatnya yang tersedia. Misalnya, jika Anda memiliki sertifikat dan kunci privatnya dalam file .pfx, Anda akan dapat mengimpor file langsung ke wizard konfigurasi Active Directory Federation Services. Sertifikat SSL ini harus berisi yang berikut ini:
|
Sertifikat SSL (juga disebut sebagai Sertifikat Autentikasi Server) untuk versi lama Ad FS |
Ini adalah Secure Sockets Layercertificate standar yang digunakan untuk mengamankan komunikasi antara server federasi, klien, Web Proksi Aplikasi, dan komputer proksi server federasi. |
Layanan Federasi Direktori Aktif memerlukan sertifikat SSL saat mengonfigurasi pengaturan server federasi. Secara default, Layanan Federasi Direktori Aktif menggunakan sertifikat SSL yang dikonfigurasi untuk Situs Web Default di Layanan Informasi Internet (IIS). Nama subjek sertifikat SSL ini digunakan untuk menentukan nama Layanan Federasi untuk setiap instans Layanan Federasi Direktori Aktif yang Anda sebarkan. Untuk alasan ini, Anda mungkin ingin mempertimbangkan untuk memilih Nama subjek pada sertifikat yang dikeluarkan otoritas sertifikasi baru (CA) yang paling mewakili nama perusahaan atau organisasi Anda ke layanan cloud dan nama ini harus dapat dirutekan internet. Misalnya, dalam diagram yang disediakan sebelumnya dalam artikel ini (lihat "Fase 2"), nama subjek sertifikat akan fs.fabrikam.com. Penting Layanan Federasi Direktori Aktif mengharuskan sertifikat SSL ini tanpa nama Subjek tanpa titik (nama pendek). Diperlukan: Karena sertifikat ini harus dipercaya oleh klien Layanan Federasi Direktori Aktif dan layanan cloud Microsoft, gunakan sertifikat SSL yang dikeluarkan oleh CA publik (pihak ketiga) atau oleh CA yang berada di bawah akar tepercaya publik; misalnya, VeriSign atau Thawte. |
Sertifikat penandatanganan token |
Ini adalah sertifikat X.509 standar yang digunakan untuk menandatangani semua token dengan aman yang masalah server federasi dan bahwa layanan cloud akan menerima dan memvalidasi. |
Sertifikat penandatanganan token harus berisi kunci privat, dan harus ditautkan ke akar tepercaya di Layanan Federasi. Secara default, Layanan Federasi Direktori Aktif membuat sertifikat yang ditandatangani sendiri. Namun, tergantung pada kebutuhan organisasi Anda, Anda dapat mengubahnya nanti menjadi sertifikat yang dikeluarkan CA dengan menggunakan snap-in Manajemen Layanan Federasi Direktori Aktif. Rekomendasi: Gunakan sertifikat penandatanganan token yang ditandatangani sendiri yang dihasilkan oleh Layanan Federasi Direktori Aktif. Dengan demikian, Layanan Federasi Direktori Aktif akan mengelola sertifikat ini untuk Anda secara default. Misalnya, jika sertifikat ini kedaluwarsa, Layanan Federasi Direktori Aktif akan menghasilkan sertifikat baru yang ditandatangani sendiri untuk digunakan sebelumnya. |
Peringatan
Sertifikat penandatanganan token sangat penting untuk stabilitas Layanan Federasi. Jika diubah, layanan cloud perlu diberi tahu tentang perubahan ini. Jika tidak, permintaan ke layanan awan akan gagal. Untuk informasi selengkapnya tentang mengelola sertifikat di seluruh farm server federasi Layanan Federasi Direktori Aktif dan layanan cloud, lihat Memperbarui properti kepercayaan.
Sertifikat komputer proksi
Proksi server federasi memerlukan sertifikat dalam tabel berikut.
| Jenis sertifikat | Deskripsi | Apa yang perlu Anda ketahui sebelum menyebarkan |
|---|---|---|
Sertifikat SSL |
Ini adalah sertifikat SSL standar yang digunakan untuk mengamankan komunikasi antara server federasi, proksi server federasi atau Proksi Aplikasi Web, dan komputer klien Internet. |
Ini adalah sertifikat autentikasi server yang sama dengan yang digunakan oleh server federasi di jaringan perusahaan. Sertifikat ini harus memiliki nama subjek yang sama dengan sertifikat SSL yang dikonfigurasi pada server federasi di jaringan perusahaan. Jika Anda menggunakan Layanan Federasi Direktori Aktif di Windows Server 2008 atau Windows Server 2012, Anda harus menginstal sertifikat ini pada Situs Web Default komputer proksi server federasi. Jika Anda menggunakan Layanan Federasi Direktori Aktif di Windows Server 2012 R2, Anda harus mengimpor sertifikat ini ke penyimpanan Sertifikat Pribadi di komputer yang akan berfungsi sebagai Proksi Aplikasi Web Anda. Rekomendasi: Gunakan sertifikat autentikasi server yang sama seperti yang dikonfigurasi pada server federasi yang akan disambungkan oleh proksi server federasi atau Proksi Aplikasi Web ini. |
Untuk informasi selengkapnya tentang sertifikat yang digunakan server federasi dan proksi server federasi, lihat Panduan Desain AD FS 2.0 atau Panduan Desain Layanan Federasi Direktori Aktif Windows Server 2012.
Persyaratan jaringan
Mengonfigurasi layanan jaringan berikut dengan tepat sangat penting untuk keberhasilan penyebaran Layanan Federasi Direktori Aktif di organisasi Anda.
Konektivitas jaringan TCP/IP
Agar LAYANAN Federasi Direktori Aktif berfungsi, konektivitas jaringan TCP/IP harus ada antara klien, pengontrol domain, server federasi, dan proksi server federasi.
DNS
Layanan jaringan utama yang sangat penting untuk pengoperasian Layanan Federasi Direktori Aktif, selain Direktori Aktif, adalah Sistem Nama Domain (DNS). Saat DNS disebarkan, pengguna dapat menggunakan nama komputer ramah yang mudah diingat untuk terhubung ke komputer dan sumber daya lain di jaringan IP.
Proses memperbarui DNS untuk mendukung Layanan Federasi Direktori Aktif terdiri dari mengonfigurasi:
Server DNS internal di jaringan perusahaan untuk menyelesaikan nama DNS kluster ke alamat IP kluster untuk kluster NLB yang Anda konfigurasikan di host NLB jaringan perusahaan. Misalnya, menyelesaikan fs.fabrikam.com ke 172.16.1.3.
Server DNS jaringan perimeter untuk menyelesaikan nama DNS kluster ke alamat IP kluster untuk kluster NLB yang Anda konfigurasi pada host NLB perimeter. Misalnya, menyelesaikan fs.fabrikam.com ke 192.0.2.3.
Persyaratan NLB
NLB diperlukan untuk memberikan toleransi kesalahan, ketersediaan tinggi, dan penyeimbangan beban di beberapa simpul. Ini dapat diimplementasikan dengan perangkat keras, perangkat lunak, atau kombinasi keduanya. Anda perlu mengonfigurasi rekaman sumber daya DNS berdasarkan nama Layanan Federasi Anda untuk kluster NLB sehingga nama domain yang sepenuhnya memenuhi syarat (FQDN) kluster (juga disebut sebagai nama DNS kluster dalam artikel ini) akan diselesaikan ke alamat IP klusternya.
Untuk informasi umum tentang alamat IP kluster NLB atau FQDN kluster, lihat Menentukan Parameter Kluster.
Memanfaatkan Perlindungan yang Diperluas untuk Autentikasi
Jika komputer Anda memiliki Extended Protection for Authentication, dan Anda menggunakan Firefox, Chrome, atau Safari, Anda mungkin tidak dapat masuk ke layanan awan menggunakan autentikasi Windows Terintegrasi dari dalam jaringan perusahaan. Jika situasi ini terjadi, pengguna Anda mungkin menerima perintah masuk secara teratur. Hal ini disebabkan oleh konfigurasi default (pada Windows 7 dan sistem operasi klien yang di-patch) untuk Layanan Federasi Direktori Aktif dan Perlindungan Diperpanjang untuk Autentikasi.
Hingga Firefox, Chrome, dan Safari mendukung Extended Protection for Authentication, opsi yang disarankan adalah agar semua klien yang mengakses layanan cloud menginstal dan menggunakan Windows Internet Explorer 8. Jika Anda ingin menggunakan akses menyeluruh untuk layanan cloud dengan Firefox, Chrome, atau Safari, ada dua solusi lain yang perlu dipertimbangkan. Namun, mungkin ada masalah keamanan dalam mengambil salah satu pendekatan ini. Untuk informasi selengkapnya, lihat Microsoft Security Advisory: Perlindungan yang diperluas untuk autentikasi. Solusinya meliputi:
Menghapus instalan patch Extended Protection for Authentication dari komputer Anda.
Mengubah pengaturan Perlindungan Diperpanjang untuk Autentikasi di server LAYANAN Federasi Direktori Aktif. Untuk informasi selengkapnya, lihat Mengonfigurasi Opsi Tingkat Lanjut untuk Layanan Federasi Direktori Aktif 2.0.
Mengonfigurasi ulang pengaturan autentikasi untuk halaman web Layanan Federasi Direktori Aktif di setiap server federasi dari autentikasi Windows Terintegrasi hingga menggunakan Autentikasi Berbasis Formulir.
Langkah selanjutnya
Sekarang setelah Anda meninjau persyaratan untuk menyebarkan Layanan Federasi Direktori Aktif, langkah selanjutnya adalah Menyiapkan infrastruktur jaringan Anda untuk server federasi.